这是一个创建于 3943 天前的主题,其中的信息可能已经有所发展或是发生改变。
被骗金额 1000
前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
前提二:我也不支持淘宝刷销量
正文开始:(据他描述)
事情发生在昨天下午,刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来,但是不付款
3. 刷单人申请远程(剩下的就是我朋友这边操作了)
4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。
完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。
首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。
然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。
其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
前提二:我也不支持淘宝刷销量
正文开始:(据他描述)
事情发生在昨天下午,刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来,但是不付款
3. 刷单人申请远程(剩下的就是我朋友这边操作了)
4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。
完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。
首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。
然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。
其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
 | 1 zealic 2015-01-07 10:16:37 +08:00 Greasemonkey script or Chrome Extension |
 | 3 ven 2015-01-07 10:20:36 +08:00 会不会伪造了一个已买到的宝贝的页面,替换了“立即付款”的连接,实际上另外一个金额完全一样的订单~ |
 | 4 lesswest OP @ven 这个我也考虑过,但是据我朋友说,他付款之前,是刷新了页面的“我的淘宝>已买到的宝贝”,而且地址栏也没有异常。 |
| 5 zealic 2015-01-07 10:28:05 +08:00 |
 | 6 xiaoyaoking 2015-01-07 10:28:05 +08:00 via Android 修改网络封包,曾经接过一个类似的程序源码。 |
 | 7 icemanpro 2015-01-07 10:28:19 +08:00 直接f12 |
 | 8 yangqi 2015-01-07 10:29:54 +08:00 难道不是担保交易么?不能申诉? |
 | 9 royzheng 2015-01-07 10:30:54 +08:00 应该是动态修改已买到宝贝的页面源代码吧 |
 | 10 jasontse 2015-01-07 10:33:13 +08:00 via iPad 会不会是骗子自己上架了一个一样的宝贝,让代付的其实是另一个单子? |
 | 11 47jm9ozp 2015-01-07 10:34:27 +08:00 自己生成了个页面之类的。。 |
 | 12 bugeye 2015-01-07 10:39:03 +08:00 我朋友去刷单人“已买到的宝贝”,点击“立即付款” 这步出问题的可能性最大吧,已买到的宝贝就是普通页面,又是别人的宝贝列表,他哪知道对劲不对劲? |
 | 13 nealfeng 2015-01-07 10:40:32 +08:00 看了半天才发现是远程操作,那他那边什么情况也不知道啊,感觉做一个完整的仿冒网站也是可以的。不过估计浏览器插件也是有可能的,直接改页面里的链接。 |
 | 14 darcyzhou 2015-01-07 10:40:48 +08:00 有可能是一台机器控制双屏造成的,同样屏幕分辨率下同样的商品,同样状态按钮也一样。在你输入完银行验证码点击付款的时候,骗子先点了另一屏的订单。 |
 | 15 manoon 2015-01-07 10:40:56 +08:00 host--->127.0.0.1 |
| 16 lesswest OP |
 | 17 luckykong 2015-01-07 10:41:56 +08:00 或者会不会你朋友连接到了骗子的虚拟机里的ie,然后骗子在实体机上对流量或者数据进行修改 |
| 18 bugeye 2015-01-07 10:42:31 +08:00 我奇怪为什么要远程?在别人机器上搞这些,他做手脚的可能性是无限的。包括上面说的,后台某程序直接改封包(以前电信只给一台机器上网的时候,我也写过这种程序改过电信认证的封包)。 |
 | 19 momou 2015-01-07 10:44:39 +08:00 应该从完成的那个订单上入手。。。 |
 | 20 alp 2015-01-07 10:45:35 +08:00 链接: http://pan.baidu.com/s/1sj4qRt7 密码: f0vu |
| 21 yangqi 2015-01-07 10:45:50 +08:00 @lesswest 不是淘宝刷单么?那不就是担保交易么,付了款钱是被支付宝扣着的,之后要确认收货钱才会打到对方账户啊?我理解的不对么,还是用的即时到帐? 如果即时到帐的话,付款前有没有确认被付款人得名字? |
| 22 lesswest OP |
| 24 darcyzhou 2015-01-07 10:52:35 +08:00 第4步,页面本来就在已买到的宝贝页面,还是说你朋友点进去的? |
| 25 lesswest OP |
 | 26 yywudi 2015-01-07 10:53:31 +08:00 @yangqi 你没看清楚,楼主朋友是卖家,找人来刷单,然后远程到刷单人的电脑去付款,用的是刷单人的淘宝帐号+自己的卡,付完发现这笔交易的卖家不是自己,自己付的钱不会回到自己口袋里。跟什么担保交易、即时到帐没关系 |
 | 28 farnan 2015-01-07 10:57:57 +08:00 我觉得你朋友就不是在规定上付款的,而是在一个钓鱼网址打的钱,url和界面很像而已。 |
| 29 darcyzhou 2015-01-07 10:59:03 +08:00 20楼有可能是真的,对方开了两个浏览器。 1、你在第一个浏览器点击立即付款以后,等待页面跳转的时候对方隐藏了第一个浏览器; 2、这时候你看到的是第二个浏览器窗口里面的付款页面; 3、你在这个页面进行的所有操作都是另外一个订单的了。 |
 | 30 coolicer 2015-01-07 10:59:52 +08:00 一般是买家被骗,卖家也会? |
| 31 lesswest OP |
 | 33 cismous 2015-01-07 11:05:01 +08:00 据我了解,我身边已经有2个朋友被骗了 |
 | 34 aru 2015-01-07 11:05:10 +08:00 已买到的物品是一个http页面,骗子可以通过各种方式替换掉特定的数字ID呀,比如说nginx的反向代理sub_filter 模块。 1. nginx的反向代理sub_filter 模块做配置,替换掉交易的id 2. hosts 将已买到的宝贝这个页面所在主机 buyer.trade.taobao.com 直到自己的nginx 反向代理服务器 |
| 36 lesswest OP |
 | 37 aeshfawre 2015-01-07 11:08:52 +08:00 这个估计不复杂,去刷单人的电脑上付款,银行卡里的剩余资金没被弄走算不错了. 别人的电脑上他想怎么样设置陷阱都可以. 用木马盗窃的人还需要想办法将木马种到你电脑上来盗窃,那个刷单人想盗窃简单多了,将木马种自己电脑上,等你付款直接偷钱就是了 |
| 38 lesswest OP @aru 嗯嗯,那也算朋友运气不好,碰到一个会写程序的坏人,apache 应该也可以吧,我 linode 上面搭了个apache,就是想重现一下这个过程。 |
| 39 lesswest OP @aeshfawre 他知道的信息只包括,我朋友的银行卡账号、我朋友手机号码后四位、还有银行发送的一次性验证码,没有别的了 |
 | 40 stonelei 2015-01-07 11:13:07 +08:00 自己做个“已买到的宝贝”的界面不就行了嘛,图片就行,立即付款做个链接,哈哈 |
| 41 aeshfawre 2015-01-07 11:13:24 +08:00 @lesswest 这信息就足够完成一次购物了,付款的同时,木马已经在后台帮你将付款转移到其他单子上了,伪造个页面显示到浏览器上就行了. 刷单人不需要自己做这种东西的,直接互联网上他就找得到人买这种木马的,种自己电脑上就够了 |
 | 42 yylzcom 2015-01-07 11:13:43 +08:00 via Android 修改hosts文件,自己签发一个根证书自己信任,像12306那样的,成本也不高啊 |
 | 43 GhostFlying 2015-01-07 11:18:54 +08:00 via Android 倾向于浏览器插件,这样成本最低最简单 |
| 44 lesswest OP |
| 45 aeshfawre 2015-01-07 11:27:51 +08:00 这种有步骤,流程这么专业的都是职业骗钱的,买别人木马的几率最大,他自己是程序员的几率最小 |
 | 49 willyout 2015-01-07 11:39:31 +08:00 倾向于浏览器插件,这样成本最低最简单 |
 | 51 exceloo 2015-01-07 12:06:08 +08:00 20楼那个视频就是教人骗钱啊 其实用greasemonkey就可以了。在页面上把信息,订单号都可以改掉,远程过来的没法发现。刷新几遍都没用。 对于破解这种骗钱的把戏应该也不难。在远程对方电脑的时候当场下载一个chrome,设为默认浏览器,如果已经存在chrome的,新建一个用户,再点击已购买的宝贝,会自动在新建用户的chrome里面打开,这个新建的chrome是无任何插件的。 |
 | 52 learnshare 2015-01-07 12:11:38 +08:00 1. 刷单有罪; 2. QQ 远程搞财务,脑袋没问题?QQ 本身就有很大风险,陌生人的电脑里有多少木马病毒; 3. 对面搞个插件伪造一下正在交易的宝贝,改名字、金额和链接,都是可以的。 我不是刚发了一个钓鱼的么? http://v2ex.com/t/159026#reply20 虽然 URL 一眼就能看出来,但页面挺真实的,不懂的分分钟把账号密码送出去。 |
 | 53 cjjia 2015-01-07 12:13:32 +08:00 via Android 大概是骗子有三个淘宝账户吧,a账号拍下了楼主朋友的链接,b账号拍下了自己的c账号店铺里的链接,然后登陆b账号让楼主朋友付款。 |
 | 54 imn1 2015-01-07 12:16:17 +08:00 还不去改银行密码? |
 | 55 woyao 2015-01-07 12:26:41 +08:00 有可能是支付宝的劫持木马,问问有没有收过文件。如果有,提取一下。 |
 | 56 Delbert 2015-01-07 12:27:32 +08:00 @cjjia 支付宝控件会检查的吧,而且跳转到支付宝会显示订单的商户 产品 数量 价格,不可能临时生成的吧?他朋友自己的商品还能不清楚? |
| 57 imn1 2015-01-07 12:31:19 +08:00 进入我的机器,我可以做的事就多了,假证书、假页面甚至假 ie 我也能给你弄一个出来 另外,提醒一下: 发现银行帐号泄密,如果还有钱在里面,应该尽快转移到近亲在同城同银行(跨行或外地的比较慢)的其他账户,最好有角和分,当然这个要在自己机器操作 然后才报警和通知请求银行冻结操作,简单说就是和骗子拼时间,报警时再说清哪一笔(ip、根据角分和接收帐号)是自己转走的 |
 | 59 invite 2015-01-07 12:59:25 +08:00 这个损失算小了吧,就怕在对方电脑上用了网银,银行卡里的钱全没了。那就损失大了。 |
 | 60 Tink PRO 能改动的地方实在是太多了,从第一步连上远程就有可能出现问题了 |
 | 61 typcn 2015-01-07 13:09:29 +08:00 HTTPS 也是可以轻易劫持的,他只需要在本机生成一个淘宝各种域名的证书,然后自己信任,就完了。 甚至 Fiddler 有自动签发并信任证书,自动替换封包为指定内容的功能。 淘宝不买带绿色地址栏的证书,没办法,小白去哪看出来。 |
| 62 lesswest OP |
 | 63 mjar 2015-01-07 13:24:43 +08:00 瞎想:骗子有淘宝店,发布一件标题和主图跟你朋友的一模一样的,然后拍,你朋友没注意看卖家不是自己就付款了。 感觉这样实现简单些。 |
| 65 bugeye 2015-01-07 13:38:13 +08:00 @lesswest 不需要写插件,只要往淘宝的页面里插段JS就可以了。至于怎么插,可以是路由器上插,可以是本地代理插,JS脚本只要改掉订单号,你朋友基本上就不可能识别出来。 |
 | 67 aiwha 2015-01-07 14:03:40 +08:00 via Android 淘宝的水好深。。。。 |
 | 68 jmu 2015-01-07 14:17:54 +08:00 这哪是骗, 明显是送吧。 远程付款 想都不敢想 |
 | 70 sunocean 2015-01-07 14:33:32 +08:00  1 @alp 怎么取消分享了?像刀一样心术正的人看了以后学会防备用来自卫,心术不正的人拿去为恶。我相信世界上还是善良的占大多数。任何骗术有效公开以后,结果都是骗术失效,而不是被骗的增加。 |
| 72 47jm9ozp 2015-01-07 14:46:01 +08:00 其实对方申请退款,钱不就到对方账户了 |
 | 73 7 2015-01-07 14:56:39 +08:00 我也是这样被骗了啊 对方的电脑很卡 我操作很费劲 据说是对方故意整的那么卡 好方便快速切屏,具体没有研究了 ,吃一堑长一智吧。 |
 | 74 lcxz 2015-01-07 14:59:21 +08:00 有没有卡一下的情况出现 |
 | 76 knightlhs 2015-01-07 15:16:50 +08:00 机器在对方手里 基本没有任何可信内容 这种上当的场景太小儿科了…… 别说你看到的只是远程的截图 就算接触到物理机器 做点小手脚也是很容易的事情 第一、对方的设备是不可信的,你不知道是否做了手脚 第二、远程操作不可信,你并不知道你是不是操作的对方电脑 还是点击的图片 第三、内容不可信,你看到的内容是基于第二(远程得来的) 以上 风险概率 99.9% 还能认可付款 那只有付学习成本了 |
 | 77 fuxkcsdn 2015-01-07 15:34:09 +08:00 @lesswest 下载 Fiddler,然后打开HTTPS调试,会出现UAC提示,确定后,随便浏览任何的HTTPS网站,Fiddler 都会自动帮你生成假证书...最后关闭 Fiddler 就得了 有了假证书还怕 HTTPS 搞不定? 以后自己要用的话,只要打开 certmgr.msc 删除掉 Fiddler 的证书就行了,颁发者名称“DO_NOT_TRUST_FiddlerRoot” P.S. Fiddler 这个功能是为了调试 HTTPS 网页用的,可不是让人用来骗人的啊 |
| 78 lesswest OP @fuxkcsdn 我知道有这么一个功能的,我也知道这样可以的,但是刷单那个人应该是别的方法,因为用这种发发的话还是要判断哪个银行的哪个订单的 |
 | 79 manhere 2015-01-07 15:41:26 +08:00 没经验就别学人家刷单了。真正的刷单平台,如果出了这事,你是可以举报给平台,然后这个欺诈买家所在的一整条利益链都会被惩罚。自己组织来路不明的人刷单,自跳火坑。刷单界每10个人就有9个骗子。 楼上个位分析一堆,其实这个很简单:买家自己开个店铺上架相同的商品拍下,F12编辑下卖家名就行了,没经验的刷单卖家直接点付款,根本不会去看支付宝那个页面的信息。 |
| 80 fuxkcsdn 2015-01-07 15:43:54 +08:00 @lesswest 对方只需要弄假的淘宝、支付宝证书就得了啊... 银行根本就不需要,银行页面之会显示你这次的消费金额和交易流水号... |
| 81 lesswest OP @manhere 刷单平台呵呵了,我朋友刷单平台不要说换了几家了,其中有一次丢了4000块钱,根本没人理你,F12这种也不会这么容易就骗了,我朋友好说歹说算半吊子学代码的。而且每次都会检查的。 |
 | 83 x86 2015-01-07 15:51:44 +08:00 不会吧,这么神奇 |
| 84 lesswest OP @fuxkcsdn 这个不是很明白了,换成假证书就可以不跟淘宝通信了吗?还是通信过程中修改信息不会出现错误提示?我要自己Google什么内容看下这方面的介绍或者您详细讲下啊。 |
 | 85 sandideas 2015-01-07 16:09:55 +08:00 via Android @lesswest 换成假证书了的确可以不用和淘宝通信。。证书的作用就是告诉你这个服务器是真的淘宝的服务器。如果用真证书,当你劫持网页到自己的服务器上浏览器会有提示。证书的作用差不多就像一个可信的人,他告诉你这个是真的淘宝放心购物吧,他还会告诉淘宝这个是真的用户下单吧。如果是假的证书,你访问淘宝,你问证书,证书会告诉你这个是真的淘宝,实际上这个是别人搭建的,页面随便改,价格随便标。。 只需要把域名劫持到自己的服务器,因为是你自己的证书所以不会报错。自己的服务器上面挂的是刷单的页面,点付款又跳回淘宝的,但是付款连接替换成别的商品的。。 应该行得通,没试过,如果有错轻喷 |
| 86 knightlhs 2015-01-07 16:11:50 +08:00 @lesswest 我猜测 整个流程都是真的 只有"已买到的宝贝" 是假的 也就是说 你看到的是个伪造页面 看到的商品信息是假的 点击后传递的对方的产品 id 然后付款等等 都是真的 或者说 你看到的已买到的宝贝页面也是真的 但是你点击付款之后的链接 重定向了 url 等技术手段 跳转到了对方商品的付款链接上 这样整个流程都是真的 |
| 87 lesswest OP |
| 88 knightlhs 2015-01-07 16:24:30 +08:00 @lesswest 不算特别高级 我曾经试验过类似的行为 比如劫持百度 cdn 的 jquery 你可以在网络中间 放一层 proxy 然后作为过滤器使用 明明你访问是的百度的 jquery 但是到客户端就变成我定制的了 这个都不太难 |
| 90 fuxkcsdn 2015-01-07 17:53:06 +08:00 @lesswest 假证书也是可以通信啊,只是有些会弹出提示 你用 Fiddler 打开 HTTPS 调试,然后关闭后,别去删除 Fiddler 的假证书,再次浏览刚刚的 HTTPS 网站,你就知道了 我有一次调试完忘了删除假证书,基本上没发现有什么不对,还用了大半天,直到浏览 google 的时候,IE才弹出提示 |
 | 91 kalman03 2015-01-07 18:11:15 +08:00 你们纠结在技术,其实我猜测楼主的朋友付完款,买家要求楼主朋友发货,就这样......:-D |
 | 92 Julyyq 2015-01-07 18:46:03 +08:00 才1000块,一个月前我朋友大半夜让我帮代付了1W多,还是最后我先感觉不对给她打电话询问详细情况她才发现自己上了当。 |
 | 94 diablocy 2015-01-07 19:01:47 +08:00 我为啥想的事 刷单的人有2个相似名称的账号呢。。。。 |
| 96 bugeye 2015-01-07 20:26:00 +08:00 @lesswest 假证书的问题,你去研究一下goagent就明白了。只要安装了可信的根证书,那么就可以访问任何https网站。 |
 | 97 4q4aKXrtx0Z87TWb 2015-01-07 20:54:14 +08:00 via Android @kalman03 卖家已然不是楼主朋友,就算退货也无意义。 |
| 98 4q4aKXrtx0Z87TWb 2015-01-07 20:54:53 +08:00 via Android @bugeye 我也认为是证书欺诈做的。 |
| 99 4q4aKXrtx0Z87TWb 2015-01-07 20:55:28 +08:00 via Android @bugeye 我也认为是证书欺诈做的。。。 |
| 100 kalman03 2015-01-07 22:35:25 +08:00 |
Select Language